datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

資訊安全的標準--概述

André Saeckel

DQS資訊安全標準專家
11月 12 , 2022
# 資訊安全標準
# 資訊安全與資訊技術安全

在資料和資訊像商品一樣交易的時代,保護它們是至關重要的。做到這一點的方法之一是在ISO/IEC 2700x系列資訊安全標準的基礎上實施資訊安全管理。這是一個針對私人、公共或非營利組織的IT安全和資訊安全的國際標準系列。在ISO 27001的基礎上,可以實施資訊安全管理系統(ISMS),各組織和公共機構可以建立、執行該系統並對其進行驗證以保護自己。

内容

資訊安全的標準:ISO 2700X系列標準

ISO 2700x系列中的各個資訊安全標準關係到資訊安全領域的不同主題。例如,國際標準規定了 ISO 27001為資訊安全管理系統(ISMS)。 ISO 27701資料保護管理系統,ISO 27017為雲端運算的資訊安全措施提供指南,而ISO 27005為資訊安全風險管理提供指南。

所有產業的公司都可以從這些資訊安全標準的系統化方法中受益。它可以保護機密資料免於丟失和濫用,並有助於可靠地鑑別和減少(潛在)威脅。該方法有助於確保企業IT系統的可用性,從而有助於最佳化業務流程,降低IT和流程成本,並將商業和責任風險降至最低。

 

驗證是競爭優勢

 ISO 27001驗證,例如DQS的驗證,需要一定的準備和努力。然而,公司提供書面證明,它符合資訊安全要求,並實施了保護公司敏感資料的措施。這是一個明顯的競爭優勢。

 

應該熟悉的十個ISO資訊安全標準

以下的清單提供了關於資訊安全方面的ISO 2700x系列標準的現狀訊息概述。所有標準都可以從ISO網站上 購買。

ISO 27001 - 資訊安全管理系統的要求

在資料和資訊像稀有商品一樣交易的時代,對它們的保護是至關重要的。符合標準、結構良好的資訊安全管理系統(ISMS)為有效實施整體安全戰略提供了一個最佳基礎。 ISO 27001 這是一個國際公認的私人、公共或非營利組織的資訊安全標準,它不僅涵蓋了IT安全的各個方面。

ISO 27001 在實踐中

DQS 稽核指南

DQS 稽核指南 (根據ISO 27001:2013)

從附件 A 中選定控制的良好稽核問題和可能證據中受益。

來自該領域的專家

它不僅是一個清單! 現在下載!

ISO 27001 ISMS定義了要求、規則和方法,以確保組織中需要保護的資訊的安全性。ISO標準提供了一個建立、執行、監測和改善保護水準的模型。其目的是鑑別公司的潛在風險,對其進行分析,並透過適當的措施使其可以控制。ISO 27001制定了此類管理系統的要求,作為外部驗證流程的一部分執行稽核​

可以使用該標準實現此目的:

  • 使敏感資訊的安全成為企業流程的一個組成部分
  • 對保護目標資訊的保密性、可用性和完整性執行預防性保障
  • 透過不斷提高安全等級來保持業務的連續性
  • 對員工進行宣傳,大幅提高公司各層級的安全意識
  • 與有關各方人員建立信任
  • 建立有效的風險管理流程

ISO/IEC 27001:2013
資訊技術 - 安全技術 -資訊安全管理系統 - 要求

修訂版於 2022 年 10 月 25 日發佈。當前版本 ISO/IEC 27001:2013 將於 2025 年 10 月到期。

ISO 27019 - 能源供應的資訊安全措施。

ISO 27019資訊安全標準制定了能源產業部門的補充措施。

ISO/IEC 27019:2017
資訊技術--安全技術--能源公用事業產業的資訊安全控制

此標準可以幫助保護電子流程控制系統,用於控制和監測電能、天然氣、石油和熱能的生產、傳輸、儲存和分配,以及控制相關的支援流程。

可以利用該標準做什麼:

  • 系統地確保資訊的保密性、可用性和完整性的保護目標。
  • 不斷提高安全等級和抵抗未授權的存取
  • 實現更高的行動安全和法律確定性,提高對相關合規要求的遵守程度
  • 提高員工和管理人員的安全意識
  • 在所有利益關係人中實現高度的信任和忠誠度
  • 向政府當局展現安全措施有效性的公認證明,如德國聯邦網路局(BNetzA)。

 

ISO 27006 - 對驗證機構的要求

ISO 27006針對執行資訊安全管理系統驗證的機構,例如 DQS。ISO 27006驗證標準描述了驗證機構在根據ISO 27001評估其客戶的管理系統以獲得驗證時必須遵循的要求。

ISO/IEC 27006:2021
資訊技術-安全技術-對提供資訊安全管理系統稽核和驗證的機構的要求

這包含了,例如:特定稽核工作的證明或關於稽核人員資格的規範。該標準中概述的認證流程保證了由經認可的認證機構頒發的ISO 27001證書具有國際有效性。

使用此標準可以實現的目標:

  • 驗證、追查和重新驗證稽核流程的統一標準
  • 確保ISO 27001證書的有效性
  • 確保對計算和執行驗證流程的人員的稽核工作和資格的最低要求

 

ISO 27002 - 資訊安全控制的指南

符合ISO 27001的資訊安全管理系統(ISMS)包含規範性附件A:資訊安全控制參考。本附件包含作為管理系統一部分實施的與組織相關的具體措施。 ISO 27002 是一份指南,其中包含實施 ISO 27001 措施的建議。

該指南於 2022 年初進行了全面修訂和更新。新版本為資訊安全管理人員提供了明確的執行指導,不遺漏處理資訊安全風險的重要措施。

ISO/IEC 27002:2022 資訊安全、網路安全和隱私保護 - 資訊安全控制

ISO 27001 稽核指南

附件A

來自我們該領域的專家。

該指南基於 ISO/IEC 27001:2013。

從附件 A 中關於選定控制的良好稽核問題和可能證據中獲益。

不僅是清單! 下載稽核指南!

可以使用此標準來做:

  • 協助ISO 27001的實施
  • 實施ISO 27001附件A中的措施建議

 

ISO 27000 - 資訊安全管理系統的概述和詞彙

ISO 27000包含在ISO 2700X系列標準中使用的術語和定義。ISO 27000概述了資訊安全管理系統和ISO 2700x系列標準及其資訊安全標準。

ISO/IEC 27000:2018
資訊技術 - 安全技術 -資訊安全管理系統 - 概述和詞彙

在詞彙表中,對(技術)術語有了明確和正式的定義。

可以用這個標準做什麼:

  • 詞彙表:涵蓋資訊安全領域ISO2700x系列標準中使用的大部分技術術語。
  • 術語的明確性
  • 評審員和稽核員之間對詞彙的清晰理解("共同語言")。
  • 資訊安全管理系統概述:介紹資訊安全、風險和安全管理以及管理系統

 

ISO 27701 - 資料保護管理指南

特別是與資料隱私相關的資訊安全標準 ISO 27701規定了基於ISO 27001、ISO 27002(資訊安全控制)和ISO 29100(資料隱私框架)的資料保護管理系統 ,以適當處理個人資料和資訊安全。這適用於個人資料的控制者和處理者。

ISO/IEC 27701:2019-08 安全技術--針對隱私資訊管理的ISO/IEC 27001和ISO/IEC 27002擴展--要求和指南

如何能透過這個標準取得成功:

  • 更好地管理個人資料和資訊安全
  • 對個人資料更容易應用共同的資訊風險管理原則
  • 統一並擴展ISO 27001以及相關的ISO 27002中的控制措施

ISO 27017 - 雲端服務中的資訊安全措施指南

ISO 27017標準在資訊安全標準中為雲端運算的資訊安全措施提供指導。

ISO/IEC 27017:2015
資訊技術--安全技術--基於ISO/IEC 27002的雲端服務資訊安全控制實施准則

它建議、支援並提供了實施雲端特定資訊安全控制的額外措施。

透過該標準可以實現什麼:

  • 了解雲端運算的資訊安全方面
  • 設計和實施特定雲端運算的資訊安全控制措施
  • 對選擇、實施和管理雲端運算的資訊安全的選項進行控制

 

ISO 27018 - 雲端服務中的資料保護指南

ISO 27018 標準提供了指導,以確保雲端服務供應商提供適當的資訊安全控制,通過確保委托給他們的個人資料安全來保護客戶的隱私。

ISO/IEC 27018:2019
資訊技術--技術--在作為PII處理器的公共雲端中保護個人身份訊息(PII)的實施准則

該標準之後是ISO 27017(雲端服務中的資訊安全措施),它涵蓋了雲端運算的其他資訊安全方面,而不僅僅是資料保護。

以下是可以使用標準執行的作法:

  • 選擇PII保護控制作為實施基於ISO 27001的雲端運算資訊安全管理系統的一部分。
  • 實施普遍接受的PII保護控制。
  • 加強知識,因為該標準以ISO 27002為基礎,並在某些方面擴展了其一般建議
  • 將多項資料保護法律與法規中展現的OECD隱私原則聯結起來

 

ISO 27005 - 關於資訊安全風險管理的指南

ISO 27005標準是關於資訊安全風險管理的指南,並支援ISO 27001中規定的這方面的一般概念。

ISO/IEC 27005:2018-07
資訊技術 - IT安全技術 - 資訊安全風險管理。

ISO 27005還旨在協助基於風險管理概念的資訊安全實施。

可以使用標準執行如下:

  • 基於風險管理方法實施資訊安全
  • 風險管理背景的定義
  • 相關資訊風險進行定量或定性評估(即鑑別、分析和評估)。
  • 持續監測和審查風險、風險處理、要求和標準
  • 適當處理風險
  • 與所有利益相關人的持續溝通
newsletter-dqs-frau schaut auf ihr smartphone

永遠不會錯過任何事情...

我們的免費電子報讓您了解有關稽核、管理系統和驗證的最新消息。閱讀我們的最佳實施案例,並獲得您的行程安排提示。

訂閱電子報!

ISO 27007 - ISMS稽核指南

ISO 27007是進行稽核的指南,適用於根據ISO/IEC 27001評估ISMS的內部和外部稽核員。

ISO/IEC 27007:2020
資訊安全、網路安全和隱私保護--資訊安全管理系統稽核指南

該指南主要基於管理系統稽核指南(ISO 19011),並為資訊安全管理系統(ISMS)提供額外的附加指南。

以下是如何使用標準取得成功:

  • 專門針對ISO 27001 ISMS稽核的指南
  • 整合自ISO 19011的關於規劃和進行稽核的指導意見
  • 關於ISMS稽核員能力的重要訊息
  • 了解和執行ISMS稽核

 

DQS - 我們能為 貴公司做什麼

自1985年以來,DQS一直是管理系統和流程驗證領域的領先專家。從那時起,DQS的歷史就與ISO 9001的歷史緊密相連。在每年約30,000個稽核人天中,我們帶給客戶的是我們在全球的專業知識和對標準的廣泛了解。因此,您可以看到您的選擇是什麼。

信任和專業知識

我們的內容和白皮書完全由我們的標準專家或資深稽核員撰寫。資訊安全標準的概述也是如此。如果對本文內容或我們對作者的服務有任何疑問,請隨時聯絡我們。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

有任何問題嗎?

聯絡我們!

免費且無須負擔任何義務。

聯絡DQS

資訊安全標準:ISO 2700X系列標準中的其他主題

ISO 27003 - ISMS的開發和實施指南

ISO/IEC 27003:2017

資訊技術 - 安全技術 - 資訊安全管理系統 - 指南。

ISO 27004 - 資訊安全管理測量方法指南

ISO/IEC 27004:2016

資訊技術-安全技術-資訊安全管理-監測、測量、分析和評估。

ISO 27008 - 資訊安全措施的評估指南

ISO/IEC TS 27008:2019

資訊技術-安全技術-資訊安全控制的評估指南

ISO 27009 - 資訊管理系統的特定部門應用指南

ISO/IEC 27009:2020

資訊安全、網路安全和隱私保護-ISO/IEC 27001的特定部門應用-要求

ISO 27010 - 跨部門和跨組織通訊的資訊安全管理指南

ISO/IEC 27010:2015

資訊技術-安全技術-跨部門和跨組織通訊的資訊安全管理

ISO 27011 - 電信產業資訊安全管理指南

ISO/IEC 27011:2016

資訊技術-安全技術-基於ISO/IEC 27002的電信組織資訊安全控制實施准則

ISO 27013 - ISMS和IT服務管理的整合實施指南

ISO/IEC 27013:2021

資訊安全、網路安全和隱私保護--ISO/IEC 27001和ISO/IEC 20000-1的整合實施指南

ISO 27014 - 資訊安全的 "治理"

ISO/IEC 27014:2020

資訊安全、網路安全和隱私保護 - 資訊安全的治理

ISO 27016 -資訊安全管理經濟學

ISO/IEC TR 27016:2014

資訊技術 - 安全技術 - 資訊安全管理 - 組織經濟學

ISO 27021 - ISMS專業人員的能力要求

ISO/IEC 27021:2017/AMD 1:2021

技術 - 資訊安全管理系統專業人員的能力要求 - 修訂1:在能力要求中增加ISO/IEC 27001:2013的條款或子條款

ISO 27031 - 業務連續性指南

ISO/IEC 27031:2011

資訊技術--安全技術--業務連續性資訊和通訊技術準備指南

提示:閱讀我們關於業務連續性管理的部落格,了解 ISO 22301 標準為確保公司在特殊情況下的持續存在所建議的內容。

ISO 27032 - 網路安全性指南

ISO/IEC 27032:2012

資訊技術 - 安全技術 - 網路安全指南

ISO 27033 - 網路安全指南

ISO/IEC 27033

資訊技術 - 安全技術 - 網路安全
第1部分:概述和概念,第2部分:網路安全設計和實施指南,第3部分:參考網路方案-威脅、設計技術和控制問題,第4部分:使用安全通道確保網路之間的通訊安全,第5部分:使用虛擬專用網路(VPN)確保跨網路通訊安全,第6部分:確保無線IP網路連結安全

ISO 27034 - 關於應用安全指南

ISO/IEC 27034

資訊技術 - 安全技術 - 應用安全
第1部分:概述和概念,第2部分:組織規範框架,第3部分:應用程式安全管理流程,第4部分:驗證和確認,第5部分:協議和應用安全控制資料結構,第6部分:編制研究,第7部分:保證預測框架

ISO 27035 - 資訊安全事件管理指南

ISO/IEC 27035

資訊技術 - IT安全實施 - 資訊安全事件管理
第1部分:事件管理的基本原理,第2部分:事件應對的規劃和準備指南,第3部分:資訊和通訊技術事件應對指南(草案)。

ISO 27036 - 關於供應商關係指南

ISO/IEC 27036

資訊技術 - 安全技術 - 供應商關係的資訊安全
第1部分:概述和概念,第二部分:要求,第三部分:資訊和通訊技術供應鏈安全指南,第四部分:雲端服務安全指南

ISO 27037 - 處理數位證據准則

ISO/IEC 27037:2012

資訊技術-安全技術-數位證據的鑑別、收集、獲取和保存指南

ISO 27038 - 數位編輯規範

ISO/IEC 27038:2014

資訊技術-安全技術-數位編輯的規範

ISO 27039 - 入侵檢測系統(IDPS)指南

ISO/IEC 27039:2015

資訊技術-安全技術-入侵檢測和預防系統(IDPS)的選擇、部署和操作

ISO 27040 - 儲存安全指南

ISO/IEC 27040:2015

資訊技術 - 安全技術 - 儲存安全

ISO 27041 - 事件調查方法指南

ISO/IEC 27041:2015

資訊技術-安全技術-確保事件調查方法的適用性和充分性指南

ISO 27042 - 數位證據的分析和解釋指南

ISO/IEC 27042:2015

資訊技術-安全技術-數位證據的分析和解釋指南

ISO 27043 - 事件調查流程指南

ISO/IEC 27043:2015

資訊技術-安全技術-事件調查原則和流程

ISO 27050 - 電子檢測指南

ISO/IEC 27050

資訊技術--電子發現
第1部分:概述和概念,第2部分:電子發現的治理和管理指南,第3部分:電子發現的實施守則

ISO 27102 - 網路保險指南

ISO/IEC 27102:2019

資訊安全管理-網路保險指南

ISO 27103 - 網路安全和ISO/IEC標準指南

ISO/IEC TR 27103:2018

資訊技術-安全技術-網路安全與ISO和IEC標準

ISO 27550 - 系統生命週期流程的隱私工程

ISO/IEC TR 27550:2019-09

資訊技術-安全技術-系統生命週期流程的隱私工程

ISO 27799 - 醫療保健領域的資訊安全管理

ISO 27799:2016

健康資訊學 - 使用ISO/IEC 27002的健康資訊安全管理

作者
André Saeckel

在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。

有任何驗證相關問題?

我們歡迎您來信諮詢
聯絡我們